Як копіювати та застосовувати дозволи NTFS між папками та томами (повний посібник з графічним інтерфейсом, реєстром та скриптами)

Коли ви керуєте серверами або спільними ресурсами, правильно скопіювати та застосувати дозволи NTFS Це відрізняє контрольований доступ від хаосу спадкування та винятків. Дуже часто структура папок накопичує різнорідні правила протягом багатьох років, і ніхто не пам'ятає, чому вони існують. Настав час навести лад, і поки ми цим займаємося, навчіться копіювати або переміщувати дані, не втрачаючи контролю доступу.

У цьому посібнику ви знайдете все необхідне для розуміння того, як працює Провідник. Windows залежно від того, переміщуєте ви чи копіюєте, Що NTFS робить зі спадкуванням, які клавіші натискати в реєстрі щоб примусово встановлювати певні дії, а також які утиліти (Xcopy, Robocopy або сторонні рішення) найкраще використовувати в кожному випадку. Ви також побачите покрокові процедури в графічному інтерфейсі, рекомендації щодо дозволів на спільні ресурси, Ключові поняття, такі як ACL/ACE, спеціальні SID, а також опції масового керування та аудиту.

Як поводяться дозволи NTFS під час копіювання або переміщення

У Windows 2000/XP/Server 2003 та пізніших версіях, NTFS дозволяє надавати детальні дозволи для файлів і папокВажлива деталь полягає в тому, що поведінка змінюється залежно від копій/переміщень та того, чи це той самий том, чи інший.

• Якщо ви копіюєте або переміщуєте між різними томами (з одного диска на інший), об'єкт створюється знову на місці призначення та успадковує дозволи батьківської папки призначення за замовчуванням.
• Якщо ви переміщуєте об'єкт у межах одного тому, він зберігає свої поточні дозволи (вони не успадковуються знову). зберігаючи свій оригінальний DACL якщо тільки ви не змусите себе інакше.

За своєю природою, об'єкт успадковує дозволи від батьківського об'єкта під час його створення або копіювання до папки. за винятком руху в межах одного об'ємуКрім того, варто пам'ятати основні правила NTFS:

• Заборона дозволів має пріоритет над дозволами.
• Явні дозволи мають пріоритет над успадкованими дозволами.
• Дозволи є кумулятивними (ті, що видаються з усіх речей, додаються).
• У конфліктах членства (користувач проти групи), переважає найбільш поблажлива комбінація, якщо немає опції «Заборонити».

Щоб зберегти дозволи під час копіювання або переміщення з онлайн-версії Команди, Xcopy та Robocopy — ваші союзники: Xcopy з /O та /X копіює власника, ACL та аудити, а Robocopy може підтримувати існуючі ACL без додавання небажаного успадкування. Ми пояснюємо це на прикладах нижче.

Якщо ви хочете змінити поведінку Провідника Windows за замовчуванням:

• Під час копіювання або переміщення на інший том він успадковується за замовчуванням. Ви можете примусово Збережіть оригінальний ACL, встановивши ForceCopyAclwithFile у Реєстрі.
• Під час переміщення в межах одного тома ACL зберігаються за замовчуванням. Ви можете примусово це зробити. успадковувати від батьківської папки, змінюючи MoveSecurityAttributes у Реєстрі.

Відповідні ключі реєстру (Увага: Редагуйте реєстр лише за наявності резервної копії та належних дозволів):

• Розташування: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

  Значення: ForceCopyAclwithFile (DWORD) = 1

  Примусово зберігати ACL скопійованих файлів оригінал під час копіювання/переміщення між томами.

• Розташування: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

  Значення: MoveSecurityAttributes (DWORD) = 0

  Примусово успадковувати об'єкт під час переміщення в тому самому томі ACL батьківської папки.

Пам’ятайте: якщо ви торкаєтеся цих значень, переконайтеся, що обліковий запис, який ви переміщуєте/копіюєте, має щонайменше «Змінити дозволи» на об'єкті, або ефект може бути частковим.

Надійні методи збереження або застосування дозволів під час копіювання/переміщення

Провідник добре працює для разових завдань, але якщо вашим пріоритетом є власник контролю, ACL та аудит до міліметраВикористовуйте системні утиліти. Ось варіанти, які підходять для найпоширеніших сценаріїв.

Xcopy для копіювання за допомогою ACL та аудиту

Використовуйте Xcopy з відповідними параметрами для забезпечення безпеки:

xcopy origen destino /O /X /E /H /K

- /O власник копії та ACL (DACL).

- /X копіює інформацію аудиту (SACL) на додаток до /O.

– Додати /E для підпапок (включно з порожніми), /H для прихованих/системних, /K для атрибутів.

(У деяких посиланнях ви знайдете -O y -X; у звичайному синтаксисі вони використовуються зі склесом /O y /X.)

Robocopy – це швейцарський ніж для переміщення великих дерев каталогів.. Зберігає дозволи та атрибути точно та дозволяє повторювати процеси без дублювання роботи:

robocopy origen destino /COPYALL /SEC /MIR /R:2 /W:2

- /КОПІЮВАТИ ВСІ = копіювання даних, атрибутів, позначок часу, безпеки (DACL та SACL), власника, аудиту.

- /SEC = резервна копія (еквівалент /COPY:DATS).

- / МИР = відображення (будьте обережні: воно може виключити в пункті призначення те, чого не існує в джерелі).

Використовуйте його, коли забажаєте зберегти існуючі дозволи, не додаючи небажаного успадкування з контейнера призначення.

Примусове налаштування поведінки Explorer

Якщо ви збираєтеся покладатися на Explorer для процесів користувача, ви можете узгодити його поведінку з Примусове копіювання AclwithFile y Атрибути безпеки переміщення Як уже пояснювалося, ви можете розповсюдити ці ключі на комп’ютери за допомогою політики (GPO). стандартизація процесу копіювання/переміщення та зменшення кількості інцидентів.

Інші практичні рекомендації

• Щоб зберегти дозволи під час копіювання/переміщення вручну, використовувати Xcopy/Robocopy замість перетягування.
• Якщо ви хочете додати оригінальні дозволи до успадкованих у місці призначення, Xcopy з /O та /X виконує саме цю місію.
• Якщо ви бажаєте зберегти оригінальний ACL «як є» на місці призначення, Robocopy Це найнадійніший спосіб

Кроки в графічному інтерфейсі: налаштування та поширення дозволів

Якщо вам потрібно зробити це клацаннями, стандартний спосіб – Властивості > Безпека. Ці кроки дійсні для Windows Server 2012/2016/2019/2022 та еквіваленти клієнтів Windows.

1. Виберіть файл або папку та відкрийте її Властивості.
2. Перейдіть на вкладку Безпека і натисніть Розширений.
3. En Змінити дозволи додати або редагувати записи користувачів/груп:

У записі виберіть «Застосувати до», щоб керувати областю застосування: ця папка, підпапки та файли, лише підпапки, лише файли тощо. Поставте позначку «Дозволити» або «Заборонити» відповідно та виберіть розширені дозволи що вам потрібно:

• Переглянути папку/Виконати файл
• Список папок/Зчитування даних
• Читати атрибути / Читати розширені атрибути
• Створення файлів/Запис даних
• Створення папок/Додавання даних
• Запис атрибутів / Запис розширених атрибутів
• Видалити підпапки та файли / Видалення
• Дозволи на читання / Змінити дозволи / Заволодіння

Щоб зміни вплинули на користувачів нижчого рівня, ви можете активувати:

- "Застосуйте ці дозволи лише до об'єктів та/або контейнерів у цьому контейнері".

- "Замінити всі дозволи дочірнього об'єкта успадкованими дозволами від цього об'єкта«щоб примусово скинути налаштування дітей».

Коли ви закінчите, натисніть кнопку «ОК», щоб закрити поля «Дозволи» та «Додаткові параметри безпеки». У деяких майстрах ви побачите Кнопка «Готово» для підтвердження

Успадкування: включення або вирізання

У розділі «Додатково» ви можете вирішити, чи об’єкт включає успадковані дозволи від батьківського об'єктаЯкщо ви знімете позначку з поля «Успадкування», вам буде запропоновано скопіювати успадковані записи явно («Додати») або повністю видалити їх («Видалити»). Використовуйте цю функцію, коли вам потрібна підпапка. розірвати спадщину з міркувань конфіденційності.

Володіння об'єктом

Табуляція власник Ви можете стати власником, якщо маєте привілеї. Власник дозволяє вам змінювати DACL, що на практиці... надає контроль над об'єктом щоб надати вам дозволи. Поставте позначку «Замінити власника для підконтейнерів та об’єктів», якщо ви хочете поширити зміни.

Ефективні дозволи та аудит

"Чинні дозволи«показує на перший погляд, що насправді має користувач/група, враховуючи успадкування та членство. У «Аудит«, ви можете визначити події доступу для реєстрації в засобі перегляду подій (потрібно ввімкнути політики аудиту).

Стратегії для шаблонів проектів та реальних випадків

В організаціях із шаблонами проектів (наприклад, Клієнт > Проєкт > Дисципліни (наприклад, бухгалтерський облік, планування, дизайн тощо), кожна нова папка проекту зазвичай створюється з копії. Якщо ви використовуєте копіювання/вставку в Провіднику, Підпапки успадковуються від нового контейнера і втрачаються нюанси підпапок шаблону.

Можливі рішення які працювали в реальних умовах:

1. Примусова поведінка Explorer за допомогою групової політики: розгорнути ForceCopyAclwithFile=1 щоб оригінальний ACL зберігався під час копіювання. Це швидко впроваджується та прозоро для користувачів.
2. Script післякопіювання: після створення проекту запустіть скрипт (Xcopy/Robocopy або PowerShell), який застосовує стандартну матрицю дозволів до відомих підпапок. Це добре працює, якщо імена узгоджені.
3. Автоматизувати створенняцентралізувати створення проектів (за допомогою квитка або внутрішнього інструменту), що використовують Robocopy з /КОПІЮВАТИ ВСІ із «золотого» шаблону. Ви уникаєте людських помилок та забезпечуєте узгодженість.

Також, якщо ви хочете, щоб оригінальний ACL співіснував зі спадкуванням нового контейнера (додаючи обидва), Копіювання за допомогою /O /X Додайте оригінальні записи до місця призначення. Якщо ви не хочете нічого змінювати, Robocopy Це найбезпечніший спосіб.

Рекомендовані дозволи для спільних ресурсів і папок

Гарною практикою є розділення дозволів від спільний ресурс y NTFS (на диску). На рівні спільного ресурсу дотримуйтесь обмежень та залиште детальний контроль для NTFS. Типова схема у сценаріях спільного хостингу:

Маршрут	Дозволів	причина
\\сервер\спільний_ресурс$ (спільний ресурс)	Адміністратори доменуПовний контроль; Облікові записи сайтудоступ за потребою	Спільний ресурс надає доступ тим, хто адмініструє ідентифікатори сайту; деталі визначено в NTFS.
E:\Вміст (фізичний шлях)	Адміністратори, SYSTEMПовний контроль	Базова папка вмісту; тут не надаються жодні додаткові дозволи.
E:\Вміст\ (контейнер сайту)	Адміністратори, SYSTEMПовний контроль; Власник сайтуПапка зі списком	Власник може переглянути контейнер, не обов'язково писати тут.
E:\Вміст\ \wwwroot	Адміністратори, SYSTEMПовний контроль; Власник сайтуПовний контроль; Ідентифікатор AppPoolЧитання/Модифікація	Кореневий веб-каталог, доступний для запису власнику та з відповідними дозволами для процесу IIS.
E:\Вміст\ Журнали	Адміністратори, SYSTEMПовний контроль; Власник сайтуЧитання	Папка над кореневим каталогом веб-сторінки для запобігання розкриттю; доступна лише для читання власником.
E:\Вміст\ \Журнали\Журнали невдалих запитів	Адміністратори, SYSTEMПовний контроль; Пул додатківПовний контроль	Ідентифікація робочого процесу потребує написання діагностики.
E:\Вміст\ \Журнали\Файли журналів W3SVCLog	Адміністратори, SYSTEMПовний контроль; MachineAccount$Повний контроль	HTTP.SYS записує ці журнали; обліковий запис комп'ютера повинен мати доступ.

Ключові поняття: ACL, ACE, DACL, SACL та оцінювання

ACL (список контролю доступу) – це список, що містить записи контролю доступу (ACE). Кожен ACE визначає дозволені/заборонені дозволи для SID (ідентифікатора) та вказує, до яких об'єктів вони застосовуються (об'єкт, дочірні об'єкти, успадкування).

El Дескриптор безпеки (SD) об'єкта зберігає власника, основну групу та два списки: DACL (хто має доступ) та SACL (які події перевіряти). SDDL – це текстова мова для представлення цих дескрипторів.

Типовий порядок оцінювання (важливо розуміти, «чому» щось відбувається): Явні заборони > Явні дозволи > Успадковані заборони > Успадковані дозволиЯкщо DACL відсутня, доступ дозволено; якщо DACL порожня, доступ заборонено.

Спеціальні облікові записи та корисні ідентифікатори SID

Деякі системні ідентифікатори часто відображаються в ACL:

TrustedInstaller (S-1-5-80…): Служба, яка має багато системних бінарних файлів.

ВЛАСНИК -СТВОРИТЕЛЬ (S-1-3-0): Замінюється SID автора; корисно для надання контролю автору об'єкта.

Права власника: обмежує можливості власника, навіть якщо він може «неявно» змінювати ACL.

Аутентифіковані користувачі (С-1-5-11), Анонімний вхід (С-1-5-7), IUSR (С-1-5-17), інтерактивний (С-1-5-4), Місцева служба (С-1-5-19), Мережа (С-1-5-2), Обслуговування (С-1-5-6), Служба мережі (С-1-5-20), SYSTEM (С-1-5-18), Партія (С-1-5-3), термінал Користувач сервера (С-1-5-13), Віддалений інтерактивний вхід (С-1-5-14).

Відомі SID: Адміністратор (С-1-5-500), Гість (S-1-5-501) та місцеві користувачі з S-1-5-1000.

Хитрощі консолі: візьміть на себе відповідальність та масово налаштуйте ACL

Щоб розблокувати файли або нормалізувати системні дозволи, дві команди дуже практичні (бігати КМД як адміністратор):

• takeown /F "%SYSTEMDRIVE%\*" /R /D S - захоплює володіння рекурсивний системний вміст (корисний для ремонту).
• icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T - надає дозволи рекурсивно, специфічних для групи «Адміністратори».

Корисні дозволи ICACLS: F (Повний), M (Змінити), RX (Читання+Виконання), R (Читати), W (Пиши), D (Видалити). Маркери успадкування: (IO) об'єкт, (ДІ) контейнер, (IO) лише успадковувати. Таким чином, (OI)(CI)(F) застосовується до папок, підпапок та файлів з повним доступом.

UAC та примітки до інтерфейсу

El Контроль облікових записів користувачів (UAC) Це не змінює ACL, але змінюється, коли запитуються підвищення прав для адміністративних дій. Увімкнення UAC на рекомендованому рівні безпечніше; його вимкнення зменшує кількість запитів, але не замінює керування дозволами NTFS.

Масове управління та аудит за допомогою ADManager Plus

Містить готові до використання звіти, які забезпечують негайну видимість: спільні ресурси на серверах, дозволи на папку, папки, доступні для облікових записів, y неуспадковувані папкиВи можете делегувати завдання технічним спеціалістам та аудит усього, експорт у CSV, PDF, HTML або Excel.

Сумісність та невеликі експлуатаційні примітки

Багато описаних варіантів безпеки застосовуються до Windows Server 2012/2012 R2, 2016, 2019 та 2022, а також сучасні клієнти Windows. Рекомендації стосуються як стійкові або баштові сервери що стосується модульних інфраструктур. На веб-порталах і консолях ви можете побачити попередження щодо файлів cookie або мови; не впливають на керування NTFS, є частиною веб-фреймворку та згоди.

Якщо ви дотримуєтеся однієї ключової ідеї, нехай це буде так: під час копіювання чи переміщення, вирішити, чи хочете ви успадкувати, чи залишити собіДля збереження використовуйте Xcopy з /O /X або Robocopy з /COPYALL; для успадкування дозвольте Провіднику виконати роботу або примусово здійсніть успадкування за допомогою Реєстру. Плануйте успадкування, документуйте винятки та покладайтеся на звітність та автоматизацію, щоб підтримувати порядок з часом.